Landuss

W logach widać infekcje miedzy innymi Conficker. Trudno powiedzieć czy to rozwiąże omawiane problemy, ale usunąć trzeba. Poza tym są też śmieciarski paski sponsoringowe, których należy się pozbyć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\system32\yqoyu.dll :Services nxxbx gmijjswr :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "7710:TCP"=- :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110717103017312&tb_oid=28-12-2010&tb_mrud=02-08-2011&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=642886&ilc=12" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100009 FF - prefs.js..extensions.enabledItems: iobit@mybrowserbar.com:4.7 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=CPUID&o=14654&locale=en_US&apn_uid=b8ece148-df51-4fe8-9ba0-fe2cfaa1e020&apn_ptnrs=CV&apn_sauid=4A9CAE06-0051-46BD-B41C-933EE7D0C761&apn_dtid=YYYYYYYYPL&&q=" [2011-08-02 18:46:20 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-09-18 17:19:52 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-12-29 11:53:37 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\extensions\toolbar@ask.com [2011-08-02 18:46:23 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\aol-web-search.xml [2011-12-29 11:53:39 | 000,002,574 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\askcom.xml [2010-12-25 00:10:17 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\conduit.xml [2011-12-06 21:53:13 | 000,002,030 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\MyStart Search.xml [2011-09-18 17:20:02 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\web-search.xml [2010-12-28 12:29:34 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\g9dx5g2c.default\searchplugins\winamp-search.xml [2011-10-11 05:52:24 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM [2011-10-11 05:52:25 | 000,000,000 | ---D | M] (IObit Toolbar) -- C:\PROGRAM FILES\IOBIT TOOLBAR\FF O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU..\Run: [F.lux] C:\Documents and Settings\Administrator\Local Settings\Apps\F.lux\flux.exe () O4 - HKCU..\Run: [FlashGet 3] "C:\Program Files\FlashGet Network\FlashGet 3\FlashGet3.exe" -minimize File not found O4 - HKCU..\Run: [XP2P] C:\Program Files\XP2P\xp2p.exe File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - File not found [2012-01-03 17:56:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj niepotrzebne pozycje: Ask Toolbar / IObit Toolbar v4.7 / Akamai NetSession Interface / Conduit Engine / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem na dodatkwoym warunku - w polu Własne opcje skanowania/Skrypt wpisz netsvcs i wywołaj opcję Skanuj. 4. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W logach brak śladu aktywnej infekcji. Temat zmieni dział. Taki błąd to nie jest wina infekcji. To zwykle kwestia pamięci. Nie jestem tylko pewny czy u ciebie to kwestia w Windows czy w samych kościach, ale sprawdzić trzeba wszystko. Na początek zobacz co mówi o tym Microsoft: KB893712. Tam jest mowa, że taki błąd to wynik operacji z pamięcią - przełącznik /PAE w boot.ini Sprawdź też ustawienie pamięci wirtualnej i daj ustawienie na automatyczne przypisywanie przez Windows (o ile już tak nie masz). BTW: nawiasem mówiąc twój system jest nieaktualny: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Tylko SP2 a to za mało dzisiaj, Microsoft zablokował systemy poniżej SP3 i nie masz dostępu do aktualizacji automatycznych. Jak najszybciej montuj Service Pack 3 + Internet Explorer 8

Usuwam wszystkie niepotrzebne posty. @Nights podajesz złe instrukcje. Tutaj jest więcej do usuwania. Pomijam fakt, że nie powinieneś się tu udzielać gdyż zasady tego działu jasno mówią, że uprawnieni do pomocy są tylko prowadzący dział aby uniknąć właśnie tego typu bałaganu. @mocarna2011 wykonaj poniższe zalecenie: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Amkaka] C:\Users\DasiA\AppData\Roaming\Amkaka.exe () O4 - HKLM..\RunOnce: [] File not found :Files attrib /d /s -s -h H:\* /C H:\*.lnk RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Spróbuj podmienić ten plik w system32 a więc: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\autochk.exe|C:\Windows\winsxs\x86_microsoft-windows-autochk_31bf3856ad364e35_6.0.6001.18000_none_e1f3ed49c1c122ef\autochk.exe /replace :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Daj znać czy nadal jest coś wykrywane.

Po co nowy temat? Łącze z poprzednim. W logach są jedynie drobne korekty do zrobienia, ale na pewno nie widać tu aktywnej infekcji. Tym się zajmiemy potem. Mówisz o spowolnieniu, tutaj w logach też widzę Symantec więc i tym razem jest on do sprawdzenia. BTW: System nieaktualny: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Prosi się szybki montaż Vista Service Pack 2 + Internet Explorer 9

Absolutnie nie ma tutaj żadnego rootkita w MBR. Usługi wykryte przez narzędzie nalezą do Kasperskyego i proszę ich w żadnym wypadku nie usuwać, wynik zignoruj. Masz już temat w dziale Hardware i ja od początku stawiam na sprzęt. Jeszcze raz powtarzam - w żadnych logach, które prezentowałeś nie ma najmniejszego śladu jakiejkolwiek infekcji.

Po prostu załóż nowy temat dokładnie opisując problem. Wcześniej przeczytaj zasady działu. Tutaj temat zamykam.

Skrypt został prawie wykonany w całości, jedynie wpis O20 się ostał ale to się da skorygować inaczej. Otworz sobie notatnik i wklej taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Więcej nic tutaj nie ma do roboty. To już tematyka do działu Windows. Z obecnych logów nie jestem w stanie za wiele wyciągnąć ale zapewniam, że nie jest to wina infekcji zaś sam błąd niewiele mi mówi.

Zbędne posty usuwam. ZwOpenFile to często modyfikacja infekcji w plikach wykonywalnych, ale niekoniecznie musi tak być. Logi nie potwierdzają infekcji, a ComboFix nie wykonał zbyt istotnych czynności, a pomijam fakt, że nie powinien zostać użyty na start. SDFix to stare narzędzie, za to zabrakło drugiego loga z OTL - ekstras. Podczas skanu powinna być zaznaczona opcja "Rejestr - skan dodatkowy" na "Użyj filtrowania". Na wszelki wypadek możesz zrobić jeszcze skan przez Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Jeśli narzędzie wykryje zagrożenia (Detected threats), przeklej ten wynik, inne pozycje zignoruj.

Tak na prawdę tylko Komputer1 ma ślady infekcji Conficker i wygląda, że to weszło na urządzeniu przenośnym. Jeśli je posiadasz to dobrze by było je też przeczyścić. Na razie wyczyść system. Logi z reszty komputerów są czyste. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\user\ydwzro.exe) - File not found O33 - MountPoints2\{16d8ff0e-ce1a-11e0-bbbe-000fea2f0979}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\AutoRun\command - "" = F:\kratakspoj\\\verujmi.exe O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\explore\command - "" = F:\kratakspoj\\\verujmi.exe O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\Install\command - "" = F:\kratakspoj\\\verujmi.exe O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\open\command - "" = F:\kratakspoj\\\verujmi.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5165:TCP"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach brak śladu aktywnej infekcji. Jedyne co możesz zrobić to odinstalować zbędny pobieracz Adobe - Akamai NetSession Interface Service oraz zaktualizować Jave i Acrobata. Rozumiem, że problemu już nie masz?

Logi nie wykazują infekcji. Temat zostaje przeniesiony. Podstawowa sprawa to bardzo mało wolnego miejsca na dysku systemowym: %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 19,53 Gb Total Space | 1,56 Gb Free Space | 7,97% Space Free | Partition Type: NTFS To rzeczywiście może sprawiać problemy. Musisz coś z tym zrobić, rozpocznij od przeczyszczenia śmieci za pomocą TFC - Temp File Cleaner, zdefragmentuj dysk. Warto też skorzystać z narzędzia SpaceSniffer, które wykazuje co zajmuje najwięcej miejsca.

Może zróbmy jeszcze tak - Uruchom OTL i wszystkie opcje ustaw na Brak/Żadne natomiast w białym oknie wklej tekst: /md5start autochk.exe /md5stop Kliknij w Skanuj i przedstaw wynikowy raport.

Zabrakło drugiego loga z OTL. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Pamiętaj o tym w kolejnym poście. W logach widać infekcje. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\GTRJN.job C:\WINDOWS\System32\mswmdm7.dll :OTL SRV - File not found [Auto | Stopped] -- -- (sdCoreService) SRV - File not found [Auto | Stopped] -- -- (sdAuxService) SRV - File not found [Disabled | Stopped] -- -- (nlsvc) IE - HKU\S-1-5-21-1659004503-1979792683-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1700389" FF - prefs.js..browser.search.defaultthis.engineName: "IsoBuster Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms}" [2011-12-07 07:31:17 | 000,000,000 | ---D | M] (IsoBuster Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aoheemfj.default\extensions\{266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} [2011-12-07 07:31:22 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aoheemfj.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2011-06-22 13:16:50 | 000,000,921 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aoheemfj.default\searchplugins\conduit.xml O4 - HKLM..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" File not found O4 - HKLM..\Run: [WhenUSearchWHSE] "C:\Program Files\DAEMON Tools SearchBar\whse.exe" File not found O4 - HKU\S-1-5-21-1659004503-1979792683-1801674531-500..\Run: [GoogleToolbarNotifier] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found [2011-08-02 08:09:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong @Alternate Data Stream - 24 bytes -> C:\WINDOWS:63CF908194F9783D :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem w oknie Własne opcje skanowania/Skrypt wklej: type W:\autorun.inf /C 3. Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nie wygląda by tu była infekcja bo logi są czyste. Temat idzie do Sieci. Wykonaj raport z Net-log

Jest w porządku. Temat zamykam.

Logi nie potwierdzają infekcji. Tym bardziej po formacie nie należy jej się spodziewać. Log z Gmer niekoniecznie oznacza rootkita. Krycie rootkit stosuje obecnie wiele pożytecznych programów w tym programy zabezpieczające. Przeskanuj się za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Jeśli narzędzie wykryje zagrożenia (Detected threats), przeklej ten wynik, inne pozycje zignoruj.

Co do błędu to mało istotna sprawa. Po prostu wejdź w folder C:\Users\Renia\AppData\Local i usuń wszystkie foldery z klamrą i liczbami. One i tak wyglądają na puste. Poza tym to by było tyle usuwania więc kroki finalne. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{104390CA-E40C-43BF-A771-26DE9E4121CC}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{104390CA-E40C-43BF-A771-26DE9E4121CC}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{A057A204-BACC-4D26-8087-36EE87E26986}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL 3. Opróżnij folder przywracania systemu: KLIK

A dobrze wpisujesz polecenie? Zauważ że przed uninstall jest spacja. No chyba że już usunąłeś program z tej lokalizacji...

Jeszcze jest trochę śmieci. Odpal teraz Ad-Remover z opcji Clean, który powinien to dokasować. Następnie zrób nim ponownie log z opcji Scan i zaprezentuj.

Drugi się nie tworzy bo nie zaznaczyłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". Ale już nie trzeba tego drugiego loga, wystarczy raz go obejrzeć w tej sytuacji. Można przejść do kroków końcowych bo infekcja jest usunięta. 1. Naciśnij przycisk z flagą Windows + R następnie wklej i wywołaj polecenie "C:\Users\Alexis\Desktop\ComboFix.exe" /uninstall co prawidłowo odinstaluje ComboFix 2. Użyj opcji Sprzątanie z OTL. 3. Całkowicie odinstaluj Spybot - Search & Destroy. Program przestarzały i w dodatku to nie jest program dla 64 bitowego systemu 4. Opróżnij folder przywracania systemu: KLIK

W logach nie za bardzo jest się do czego przyczepić bo nie wykazują one aktywnej infekcji no chyba, że tu jest infekcja w plikach wykonywalnych, a takiej w logach nie widać. Przeskanuj się za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Jeśli narzędzie wykryje zagrożenia (Detected threats), przeklej ten wynik, inne pozycje zignoruj. Ewentualnie ten plik C:/WINDOWS/SYSTEM32/autochk.exe przeleć na Virus Total i daj znać jakie są wyniki.

Wygląda na to, że ComboFix pomyślnie usunął składniki infekcji. Zrób teraz jeszcze nowe logi z OTL i przejdziemy dalej.

Tym razem wszystko załatwione co do joty i to by było na tyle z usuwania, a problemy powinny minąć. Standardy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj wymienione oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Masz system 64 bitowy a na takim systemie ta infekcja jest łatwa do wyleczenia. Rozpocznij od użycia zgodnie z wytycznymi narzędzia ComboFix i wklej wynikowy raport.